O Banco Central mudou radicalmente as regras de segurança cibernética em caixas eletrônicos e home office para evitar fraudes com clientes
Ao retornar uma resposta a um e-mail ou após postar um Twitter reclamando da entidade em que possui conta, muitos viram suas cadernetas de poupança vazias. Os bancos lavam as mãos até que caia sobre eles um processo. Mas agora o Banco Central tomou medidas sobre o assunto.
Eventos de phishing bancário e outras fraudes contra clientes desavisados acabam, em pouquíssimos casos, em processos milionários contra bancos por não terem estabelecido melhores políticas de segurança. Mas geralmente o cliente se sente culpado por ser ingênuo e não protesta.
O que acontecerá no futuro com a cibersegurança bancária
Diante dessa situação, o Banco Central deu uma guinada brusca em sua regulamentação de cibersegurança para instituições financeiras, com a publicação nesta sexta-feira, 10 de março, do Comunicado A 7724, que modifica os anteriores com uma visão focada na minimização de incidentes.
“O BCRA atualizou os ‘Requisitos mínimos para a gestão e controle dos riscos de tecnologia e segurança da informação’, obrigando as entidades financeiras a implementar controles internos e gestão de riscos em tecnologia e sua mitigação”, afirma Gabriela Abad, Advogada da Associação de Usuários e Consumidores dos Estados Unidos (UCU).
“A norma estabelece requisitos para o desenho de operações e processos que ofereçam ciberresiliência a incidentes”, explica Federico Tjor, advogado especialista em Direito Informático, em diálogo com a iProUP, e indica que “também está regulamentada a gestão de ciberincidentes , buscando preparação e resposta de planos, registros de incidentes cibernéticos e sua investigação”, diz ele.
No entanto, Tjor aponta que “embora as mudanças sejam positivas para garantir um patamar de segurança aceitável para o funcionamento das instituições financeiras, elas envolvem quase totalmente aspectos do funcionamento interno dos bancos, com pouca relevância para a segurança dos usuários em suas operações virtuais” .
O que os bancos devem fazer para atender com robôs?
“O regulamento especifica o uso de Inteligência Artificial (IA) dentro das entidades bancárias, e exige que elas identifiquem e documentem o objetivo do uso de algoritmos desse tipo, com requisitos específicos para evitar preconceitos ou discriminação contra grupos de usuários, como bem como a obrigação de informar o cliente da sua utilização”, refere Tjor.
“O BCRA considera especialmente a adoção por entidades de Inteligência Artificial em seus processos, o uso de tecnologia nova ou emergente no contexto de incidentes cibernéticos”, esclarece Abad.
“A precaução exigida pelo BCRA no uso de algoritmos de IA é a confiabilidade em seu uso e a adoção de medidas para evitar a existência de preconceito ou discriminação contra usuários de serviços financeiros”, acrescenta.
“O padrão também estabelece a comunicação com o cliente quando o banco utiliza serviços suportados por esse tipo de tecnologia”, diz Abad, acrescentando: “é importante que o usuário saiba quando está sendo atendido por uma pessoa real ou por um robô”.
Quais incidentes cibernéticos devem ser evitados pelos bancos
“Nesta ampla regulamentação, o BCRA enfoca as diferentes precauções que os bancos devem realizar para garantir a identificação, avaliação, monitoramento, controle e prevenção dos chamados incidentes cibernéticos”, comenta Abad.
“O que são incidentes cibernéticos? O BCRA os define como aqueles incidentes de tecnologia e segurança que põem em risco a cibersegurança de um sistema de informação ou a informação que o sistema processa, armazena ou transmite”, destaca.
Para o Banco Central, também é um incidente cibernético que viola políticas de segurança, procedimentos de segurança ou políticas de uso aceitável, seja ou não produto de atividade maliciosa”, acrescenta.
“É do conhecimento público a vaga de ataques do tipo “engenharia social”, “phishing”, “vishing” e outras características semelhantes, que se agravaram na pandemia da COVID-19, à semelhança de outros incidentes informáticos, que persistem até aos dias de hoje. hoje”, lembra.
“Agora o BCRA insiste em exigir treinamentos e programas de conscientização em segurança da informação das entidades que chegam aos clientes e usuários, contemplando os riscos tecnológicos e os aspectos relacionados à gestão de incidentes cibernéticos”, destaca Abad.
Quais são as chaves para os novos padrões de segurança cibernética
“O Comunicado A 7724 estabelece uma série de diretrizes que obrigam as instituições financeiras a realizar um planejamento estratégico em segurança cibernética”, comenta Abad, e lista as obrigações impostas pelo BCRA aos bancos:
- 1. Autenticação dupla
Definir modelos de acesso de utilizadores que tenham em conta fatores de autenticação, comportamento na utilização de serviços e diferentes fontes de informação que permitam validar a sua identidade.
- 2. Proteção de integridade.
Estabelecer medidas de proteção que garantam a integridade e confidencialidade dos fatores de autenticação do cliente e que reduzam o risco de ataques, com a utilização de métodos que comprovem a posse e controle do dispositivo pelo usuário.
- 3. Dados biométricos
Devem ser avaliados e mitigados os riscos relativos às limitações do método, à taxa de falsos positivos, às possíveis vulnerabilidades nos dispositivos e sistemas utilizados para capturar e validar as credenciais e ao impacto na privacidade do usuário.
- 4. Eventos de segurança
Estabelecer um processo de registro e análise de informações relacionadas a eventos de segurança de sistemas, redes e infraestrutura tecnológica.
Revise os perfis de comportamento do usuário para identificar suas atividades habituais, bem como identificar padrões de atividade suspeita ou incomum do usuário.”
- 5. Gerenciamento de incidentes cibernéticos:
Manter um registo da monitorização das atividades até à identificação da causa raiz dos incidentes cibernéticos, de forma a garantir a sua resolução e evitar a sua recorrência.
Mesmo quando a origem não está sob o controle do banco, eles também devem tomar ações para gerenciar seu acompanhamento.
Analisar as informações estabelecidas para prevenir novos incidentes cibernéticos ou investigar as causas raiz do incidente cibernético registrado.
- 6. Caixas Multibanco e homebanking
O Banco Central define Canais Eletrônicos como caixas eletrônicos, terminais de autoatendimento, mobile banking, telebanking, banda de internet e plataforma de pagamento móvel. E exige que as entidades tenham equipes de trabalho especializadas na gestão de incidentes de segurança em todos os seus Canais Eletrônicos.
No entanto, “seria esperado que a oportunidade tivesse sido aproveitada para regular a obrigação de informar os usuários, e não apenas o BCRA, em caso de incidentes cibernéticos, roubo de dados ou informações”.
O Comunicado “A” 7724 entrará em vigor em 180 dias, de forma a permitir uma revisão dos processos para adequação a esta nova abordagem regulatória, segundo o Banco Central.
- Quais são as principais fraudes que atingem os clientes bancários?
“As novas modalidades nas operações bancárias, através de levantamentos de dinheiro em caixas multibanco, pagamentos por transferência ou através de homebanking, ou através de posnet com cartões de crédito e débito, demonstraram a fragilidade do sistema, por exemplo, das seguintes formas”, listou Flavio Lowenrosen, especialista em direito do consumidor:
Simulação nas redes sociais: criminosos se passam por bancários, dando instruções aos indivíduos, para que façam transferências ou solicitem créditos.
Clonagem de cartões de débito ou crédito.
Extração de dinheiro por terceiros fora das contas.
“Nesses casos, os sistemas não detectaram a utilização de cartões diferentes ou de contas não oficiais, por exemplo”, comenta Lowenrosen.
Que responsabilidade os bancos têm contra a fraude do cliente?
“A organização bancária não pode perceber que terceiros fingem ser ela e aconselham os usuários a realizar determinadas atividades (fornecer dados, enviar e-mails, fazer transferências) que são contrárias aos seus direitos e interesses patrimoniais”, explica Lowenrosen.
“Como as entidades não tomam as medidas necessárias para prevenir a fraude do usuário, elas devem assumir a responsabilidade em situações de fragilidade ou falibilidade organizacional”, enfatiza Lowenrosen.
“Em todo o caso, e embora a omissão não libere claramente o banco, os utentes devem agir com prudência, consultando a instituição financeira em caso de dúvida ou eventualidade, e deixando registo da mesma”, alerta.
